風(fēng)險評估流程及標(biāo)準(zhǔn)

1、評估體系及相關(guān) 標(biāo)準(zhǔn)培訓(xùn),安全評估體系及標(biāo)準(zhǔn),安全評估服務(wù)體系 風(fēng)險評估內(nèi)容與過程 風(fēng)險評估服務(wù)組件 ISO/IEC 17799(BS7799)、ISO/IEC TR 13335 國家標(biāo)準(zhǔn)信息安全評估指南,安全評估體系,基線安全評估,網(wǎng)絡(luò)架構(gòu)評估,業(yè)務(wù)系統(tǒng)評估,管理安全評估,安全風(fēng)險評估,全面安全解決方案 （Total Solution）,安全咨詢,安全加固,安全產(chǎn)品部署,安全培訓(xùn),緊急響應(yīng),客戶需求定制,安全評估組件的關(guān)系,資產(chǎn)價值,安全評估服務(wù)體系 風(fēng)險評估內(nèi)容與過程 風(fēng)險評估服務(wù)組件 公司介紹 成功案例介紹,威脅,影響,概率,弱點,價值,資產(chǎn)擁有者,信息資產(chǎn),威脅來源,風(fēng)險,后果,可能性

2、,現(xiàn)有安全措施,影響,影響,半定量分析模型,安全風(fēng)險評估組件,資產(chǎn)調(diào)查,基線安全評估,安 全 威 脅 評 估,工具掃描弱點,網(wǎng)絡(luò)架構(gòu)安全評估,業(yè)務(wù)系統(tǒng)安全評估,主機弱點人工評估,網(wǎng)絡(luò)配置弱點評估,安全設(shè)備弱點評估,保 護 對 象 分 析,基線安全評估特點,是一種技術(shù)評估 操作最簡單 內(nèi)容最基礎(chǔ) 歷時最短 結(jié)果最直觀,基線安全評估內(nèi)容,基線安全評估 BaseLine Security Evaluation,工具掃描(Scanning),登錄檢查(Login Check),Vulnerability(漏洞),Weak Pass(弱口令),Configuration(配置),Information(

3、信息),Sharing(共享),Local Vul.(本地漏洞),Mechanism(安全機制),Foresic(入侵取證),工具掃描,掃描器終端,漏洞庫升級,接入IP地址,交換機端口,電源網(wǎng)線,配合人員,掃描申請報告授權(quán),范圍列表,掃描范圍核實,非業(yè)務(wù)高峰期,雙機熱備分開,拒絕服務(wù)項關(guān)閉,固定范圍,準(zhǔn)備階段,掃描30-60分鐘,風(fēng)險規(guī)避,開始掃描,系統(tǒng)分類,現(xiàn)場培訓(xùn),保密協(xié)議,登錄檢查,控制臺操作,賬號口令,配合人員,登錄授權(quán),范圍選定,檢查項審核,準(zhǔn)備階段,檢查40-60分鐘,風(fēng)險規(guī)避,開始檢查,現(xiàn)場培訓(xùn),一人操作一人監(jiān)督,檢查項列表,操作記錄,無寫操作,保密協(xié)議,網(wǎng)絡(luò)架構(gòu)評估特點,技術(shù)+

4、管理評估 過程復(fù)雜 內(nèi)容廣泛 歷時較長 結(jié)果分定性與定量,網(wǎng)絡(luò)架構(gòu)評估內(nèi)容,網(wǎng) 絡(luò) 架 構(gòu) 評 估,規(guī)范文檔,網(wǎng)絡(luò)拓?fù)?運行維護,數(shù)據(jù)安全,網(wǎng)絡(luò)管理,產(chǎn)品部署,安全域劃分,安全控制,運維管理,安全管理,應(yīng)急管理,接入規(guī)范,日常維護,變更記錄,密碼策略,日志策略,審核策略,聯(lián)系列表,應(yīng)急流程,應(yīng)急預(yù)案,網(wǎng)絡(luò)架構(gòu)評估方法,網(wǎng)絡(luò)架構(gòu)方面安全問題分為8個大類 每個類內(nèi)容有3-5個子類 每個子類分為3-8個子項 每個子項分為5-15個知識點 根據(jù)穩(wěn)定性、安全性、冗余性、擴展性、經(jīng)濟性、易于管理性共六項內(nèi)容對每個知識點進行分配權(quán)重 按照可選、必選的規(guī)則 定義8大類的比重 進行綜合加權(quán)評估,網(wǎng)絡(luò)架構(gòu)評估結(jié)果

5、,網(wǎng)絡(luò)安全狀況分級 安全風(fēng)險分布圖表 最嚴(yán)重的安全問題列表 安全風(fēng)險綜述,業(yè)務(wù)系統(tǒng)評估特點,針對業(yè)務(wù)和應(yīng)用 過程復(fù)雜 內(nèi)容與業(yè)務(wù)關(guān)系密切 歷時較長 結(jié)果定性,業(yè)務(wù)系統(tǒng)評估內(nèi)容,IT 業(yè) 務(wù) 系 統(tǒng) 評 估,支撐系統(tǒng),應(yīng)用系統(tǒng),前置系統(tǒng),中間件,數(shù)據(jù)庫,安全系統(tǒng),管理安全,物理安全,業(yè)務(wù)相關(guān)性分析，根據(jù)信息 數(shù)據(jù)流向，對整個業(yè)務(wù)系統(tǒng) 進行綜合評估。,管理安全評估特點,針對策略、流程、資產(chǎn)、人員管理 后續(xù)改善工作是持續(xù)的過程 內(nèi)容廣泛 歷時較長 效果不直接,管理安全評估內(nèi)容,IT管理安全評估,文檔審計,顧問訪談,問卷調(diào)查,實地考察,策略文檔,資產(chǎn)管理,流程管理,規(guī)章制度,安全組織,策略發(fā)布,策略修

6、訂,入網(wǎng)流程,維護流程,備份流程,應(yīng)急流程,資產(chǎn)統(tǒng)計,資產(chǎn)定級,資產(chǎn)維護,崗位職責(zé),人員流動,登記制度,保密制度,項目的主要階段,1-項目準(zhǔn)備與范圍確定項目計劃項目組織結(jié)構(gòu)、人員確認(rèn)項目工作環(huán)境Kick off需求調(diào)研，背景討論范圍確定,2-項目定義和藍圖完成詳細方案設(shè)計定義詳細項目范圍定義報告格式定義項目目標(biāo)作好網(wǎng)絡(luò)環(huán)境準(zhǔn)備完成藍圖并與用戶簽署,3-評估 資產(chǎn)調(diào)查 等級保護和分域保護 風(fēng)險評估 資產(chǎn)管理和風(fēng)險信息庫,4-綜合評估階段 網(wǎng)絡(luò)風(fēng)險評估報告 安全現(xiàn)狀報告 數(shù)據(jù)導(dǎo)入信息庫和整理 安全需求分析,5-體系規(guī)劃和策略方案階段安全體系設(shè)計、安全規(guī)劃安全策略制定網(wǎng)絡(luò)安全管理和技術(shù)解決方案,6-

7、支持和維護培訓(xùn)漏洞跟蹤售后服務(wù)電話熱線支持售后服務(wù) 安全通告服務(wù),項目階段和提交文檔,需求調(diào)研,項目藍圖,總體策略建議,客戶安全現(xiàn)狀,總體安全解決方案,安全評估服務(wù)體系 風(fēng)險評估內(nèi)容與過程 風(fēng)險評估服務(wù)相關(guān)組件 公司介紹 成功案例介紹,安全培訓(xùn),應(yīng)急響應(yīng),Osstmm2.1,風(fēng)險評估的跟進支持組件,time,cost,安全加固,安全信息通告,安全加固服務(wù)流程,系統(tǒng)加固階段,緊急響應(yīng)服務(wù),準(zhǔn)備 識別 抑制事態(tài)發(fā)展 恢復(fù)系統(tǒng) 提出解決方案 總結(jié)經(jīng)驗教訓(xùn),安全通告服務(wù),系統(tǒng)地向用戶傳遞最新安全技術(shù)和安全信息,安全培訓(xùn)服務(wù),安全管理培訓(xùn) 評估方法培訓(xùn) 安全審計培訓(xùn) 安全加固培訓(xùn) 定制培訓(xùn) CISP培訓(xùn)

8、 ,遵循以下標(biāo)準(zhǔn)： ISO 17799/BS7799 ISO 13335 GB信息安全風(fēng)險評估指南,ISO17799(BS7799),BS7799-1:1999（即ISO/IEC 17799:2000），信息安全管理實施細則（Code of Practice for Information Security Management），從10 個方面定義了127 項控制措施，可供信息安全管理體系實施者參考使用，這10 個方面是： 安全策略（Security policy）； 組織安全（Organization security）； 資產(chǎn)分類和控制（Asset classification and

9、control）； 人員安全（Personnel security）； 物理和環(huán)境安全（Physical and environmental security）； 通信和操作管理（Communication and operation management）； 訪問控制（Access control）； 系統(tǒng)開發(fā)和維護（System development and maintenance）； 業(yè)務(wù)連續(xù)性管理（Business continuity management）； 符合性（Compliance）。,BS7799-2 是建立信息安全管理系統(tǒng)（ISMS）的一套規(guī)范（Specificatio

10、n for Information Security Management Systems），其中詳細說明了建立、實施和維護信息安全管理系統(tǒng)的要求，指出實施機構(gòu)應(yīng)該遵循的風(fēng)險評估標(biāo)準(zhǔn)，當(dāng)然，如果要得到BSI 最終的認(rèn)證（對依據(jù)BS7799-2 建立的ISMS 進行認(rèn)證），還有一系列相應(yīng)的注冊認(rèn)證過程。作為一套管理標(biāo)準(zhǔn)，BS7799-2 指導(dǎo)相關(guān)人員怎樣去應(yīng)用ISO/IEC 17799，其最終目的，還在于建立適合企業(yè)需要的信息安全管理系統(tǒng)（ISMS）。,ISO/IEC TR 13335,ISO/IEC TR 13335，即IT 安全管理指南（Guidelines for the Management of IT Security，GMITS），是由ISO/IEC JTC1 制定的技術(shù)報告，是一個信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，其目的是為有效實施IT 安全管理提供建議。 ISO/IEC TR 13335 分成5 個部分：,國家標(biāo)準(zhǔn)信息安全評估指南風(fēng)險評估要素關(guān)系圖,方框部分